近日,多地爆发了一场急速感染的勒索病毒感染事件。
团队经研究决定,立即发布该紧急安全通告,防止更多人受到波及影响。
1#事件简述
团队成员整理发现,该勒索病毒最早在网上的报告时间,是2020年4月4日下午5时,接下来陆续有人员在百度贴吧、360论坛以及火绒论坛进行求助!
有消息称已经上报国家互联网应急中心(cncert)
病毒感染后,显示赎金为0.05个比特币,内容语言为繁体,未明确编写的程序语言
2#威胁分析
按照目前情报看来,该病毒有两种形式:
①以TXT形式进行感染,②以png图片形式进行感染。
(两种形式的比特币地址相同,可确定是同一人所为)
实例情况:
①安装火绒的Windows 10感染时,未开启进程监控,无木马病毒报告,但是马上被感染,文件均被加密,后缀名wannaren,怀疑wannacry永恒之蓝变种
②安装360安全卫士的Windows7感染时,虽然进行了第一时间的查杀,仍然感染,所有文件均被加密,后缀名wannaren,怀疑wannacry永恒之蓝变种
目前有报告称在安装微软”永恒之蓝“系统补丁后仍可感染(还待考证)
该病毒特征:
- 大部分杀毒软件无法进行有效检测和拦截
- 发现“kms激活工具 19.5.2.exe”为该勒索病毒下载器,该下载器伪装成kms激活工具诱导用户下载
- 此勒索病毒不利用原版的永恒之蓝漏洞
- 部分Win7免疫但有弹窗无伤害(可能为盗版团队对系统的安全优化阻止了感染),Win10和Win8.x以及Windows Server系列均可被感染,版本原因正在确认中
- 会检测识别VM虚拟机,在VM虚拟机上会尝试穿透感染物理机
- 病毒自带数字签名,可以绕过杀软检测,使用vmp加壳
- 执行加密操作后会删除自身程序,只留下附属的解密程序
3#病毒样本
以下附该病毒样本:
链接1:
链接2:
注:该样本不是真实完整病毒样本,已经确定是病毒执行加密操作后,留下的附属解密程序,通过测试发现并不会加密文件,也不会生成本机key,病毒的真实攻击流程还待深究,自行下载测试出现问题本团队概不负责!!!
病毒样本实体机测试视频链接:
4#病毒逆向分析
- 在“kms激活工具 19.5.2.exe”程序中(现在发现不只这一个程序捆绑病毒),发现捆绑PowerShell恶意代码
- 当恶意代码执行时,首先延时2000秒,一定程度上造成用户措手不及,以及无缘无故感染的假象
- 接下来将获取并执行
链接 - 病毒在
链接
5#总结
- 近期不要下载和打开来源不明的文件,不要浏览不明网站;
- 最好安装所有的更新补丁,装上杀毒软件(推荐火绒);
- Win10最好开启自带的防火墙,服务器只开放使用到的端口;
- 此次病毒对Linux和macOS不够成影响,不要散布谣言
- 及时关注病毒动态,等待安全厂商的官方回应
6#最新动态
(本版块将实时更新)
- 截止到2020年4月6日20时,火绒/安博士/安天/金山毒霸/360/瑞星/若顿/智量/国外某些杀毒软件,已经可以识别病毒并清除(其中除安天/瑞星/智量不用升级外,其他杀毒软件均要升级才能进行防护)
- Windows自带的防火墙不会报毒
- 目前病毒可能通过80/221/443端口或CVE-2020-0796漏洞进行传播
- 病毒有一个TCP连接指向北京海淀区的电信IP:203.208.43.154的443端口
- 该病毒会检测用户电脑是否能访问Google来判断是否为大陆电脑,疑似是面向中国大陆的攻击
- 目前国外的攻击报告还没出现
- 病毒会捆绑更多文件诱导用户下载执行
- 4月9日,该病毒作者联系火绒安全并提供了有效秘钥:传送见
链接
请登录之后再进行评论